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= (54) Title: SECURITY-RELATED BUS AUTOMATION SYSTEM 

(54) Bezeichnung: SICHERHEITSBEZOGENES AUTOMAT1SIERUNGSBUS SYSTEM 

(57) Abstract: The invention relates to a security-related automation system and a method for operating said system. In order to 
produce a security-related bus automation system which involves a minimum amount of hardware redundancy and which can be 
adapted to requirements in a flexible manner, the automation system comprises at least one security analyzer which is connected to 
the bus by means of an interface and which monitors the data flow via said bus, whereby the analyzer is configured in such a way that 
it can execute security-related functions. The automation system is characterized in that a standard control device controls at least 
^* one security -related output and the security analyzer is configured in such a way that it can monitor and/or process security-related 
data in the bus data flow. 

m 

£TJ (57) Zusammenfassung: Die Erfindung betrifft em sicherheitsbezogenes Automarisierungssystem und ein Verfahren zum Betrieb 
ernes derartigen Systems. Um ein sicherheitsbezogenes Automatisierungsbussystem bereitzustellen, welches mit einer geringen 
Hardware-Redundanz auskommt und flexibel an die jewefligen Anfordemisse angepaBt werden kann, umfaBt das Automatisierungs- 

^5 system zumindest einen Sicherheusanalysator, der minels einer SchnittsteDe an den Bus angeschlossen ist und den DatenfluB uber 
den Bus mithort, wobei der Analysator zum Ausfunren von sicherheitsbezogenen Funktionen eingerichtet ist. Das Automatisie- 
rungssystem zeichnet sich dadurch aus, dafi die Standardsteucieinrichtung zumindest einen sicherheitsbezogenen Ausgang ansteuen 

^ und der Si cherheitsanal ysaior zur tJberpTufung und/oder zum Verarbeiten von sicherheitsbezogenen Daten im Busdatenstrom aus- 

^ gebfldet ist. 
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Sicherheitsbezoaenes Automat isie runasbus svstem 

Die Erfindung betrifft ein sicherheitsbezogenes 
Automatisierungsbudsystem nach dem Oberbegriff des Anspruchs 
1 und ein Verfahren zum Betrieb eines derartigen Systems. 

Steuer- und Datenubertragungsanlagen haben aufgrund des damit 
moglichen hohen Automatisierungsgrades eine herausragende 
Stellung nicht nur in der industriellen Fertigung erlangt. 
Derartige Automat isierungssyst erne weisen im allgemeinen 
zumindest Abschnitte oder Komponenten auf , an welche erhohte 
Anforderungen im Hinblick auf die Sicherheit zu stellen sind. 
Beispielsweise muS sichergestellt sein, daS bestimmte 
Maschinen innerhalb vorgegebener Betriebsparameter betrieben 
werden oder es muS verhindert werden, daS eine Maschine_ 
. lauft, obwohl sich eine Person in deren Arbeitsbereich 
auf halt. In dieser Hinsicht darf beispielsweise eine 
Drehmaschine nicht eine vorgegebene Drehzahl uberschreiten 
oder sich nicht beim Betrieb eines Roboters eine Person im 
Aktionsradius des Roboters aufhalten. Weiterhin muS beim 
Betrieb eines Automat is ierungssystems sichergestellt sein, 
daS bei einem Ausfall einer Komponente des Systems die Anlage 
nicht in einen undef inierten und damit nicht vorhersagbaren 
Zustand gerat . 

Ein Ansatz fur diese Problematik nach dem Stand der Technik 
besteht darin, insbesondere die sicherheitsrelevanten 
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Komponenten des Systems mehrkanalig, d.h. redundant 
aufzubauen. Beispielsweise kann in einem 
Automatisierungsbussystem vorgesehen sein, 

Sicherheitsbuskomponenten, d.h. z.B. Busteilnehmer , die einer 
5 sicherheitsrelevanten Maschine zugeordnet sind, doppelt 

auszufuhren. Gleichzeitig kann auch die zentrale Steuerung 
und der Bus mehrkanalig aufgebaut sein oder gar eine von der 
ProzeSsteuerung getrennte spezielle und unter Umstanden 
redundant aufgebaute Sicherheitssteuerung zur Steuerung der 

10 sicherheitsrelevanten Komponenten vorgesehen sein. Diese 

Sicherheitssteuerung fuhrt im wesentlichen die Verknupf ungen 
der sicherheitsbezogenen Eingangsinf ormationen durch und 
ubermittelt daraufhin, beispielsweise uber einen 
Automat isierungsbus, sicherheitsbezogene Verknupf ungsdaten an 

15 Ausgangskomponenten. Die Ausgangskomponenten ihrerseits 

bearbeiten die empfangenen SicherheitsmaSnahmen und geben 
nach positiver Prufung diese an die Peripherie aus . Daruber 
hinaus schalten sie ihre Ausgange in einen sicheren Zustand, 
wenn sie einen Fehler feststellen oder innerhalb einer 

20 vorgegebenen Zeitdauer keine gultigen Daten mehr empfangen 
haben . 

Der Einsatz von zwei Steuerungen im System, d.h. eine 
ProzeSsteuerung sowie der beschriebenen Sicherheitssteuerung 

25 hat jedoch einige Nachteile zur Folge. Gerade aufgrund 
steigender Anf orderungen an die Reaktionszeit von 
Automatisierungssystemen muS ein derartiges System haufig auf 
Sicherheitsinseln aufgeteilt werden. Weiterhin treten 
insbesondere bei mehrkanal igen Steuerungssystemen 

30 Synchronisationsprobleme auf, welche trotz prinzipiell 
intakter Anlage zu Ausf alien oder gar Zerstorungen von 
Maschinenteilen fuhren konnen. Weiterhin zieht der 
mehrkanal ige Aufbau durch den vergroSerten Hardware -Auf wand 
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eine Erhohung der System- als auch der Wartungskosten nach 
sich. 

Aus DE 198 15 150 Al ist ein System bekannt, welches eine an 
den Bus angeschlossene Auswerteeinheit umfaSt, die 
fortlaufend die uber das Bussystem ubertragenen Signale 
abhort und nur bei fehlerfreier Identif izierung von uber das 
Bussystem ubertragenen Kodierungen ein Arbeitsgerat in 
Betrieb setzt. Hierzu werden die durch den Busteilnehmer an 
den Master gesendeten Eingangsdaten ausgewertet und im 
Ansprechen auf die Auswertung das Arbeitsgerat eingeschaltet 
oder ausgeschaltet belassen. 

Ein derartiger Ansatz ist im Vergleich zur erstbeschriebenen 
Anlage nicht so kostenintensiv, er ist jedoch sehr unflexibel 
im Hinblick auf eine Erweiterung des Systems oder eine 
Anpassung der Anlage an andere Buskomponenten . Weiterhin ist 
die Auswerteeinheit allein fur das Auslosen einer 
sicherheitsgerichteten Funktion zustandig, so daS zur 
Einhaltung hoher Sicherheitsanf orderungen die Auswerteeinheit 
zwingend redundant ausgefuhrt werden muS. 

Aufgabe der Erfindung ist es somit, ein sicherheitsbezogenes 
Automat isierungsbus system bereitzustellen, welches moglichst 
mit einer geringen Hardware -Redundanz auskommt und flexibel 
an die jeweiligen Anf ordernisse angepaSt werden kann. 

Die Erfindung lost dieses Problem mit einem 

Automatisierungsbussystem mit den Merkmalen des Anspruchs 1 
sowie ein Verfahren zum Betrieb einer derartigen Steuer- und 
Datenverarbeitungsanlage nach Anspruch 14. Weiterbildungen 
der Erfindung sind in den Unteranspruchen angegeben. 
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Erf indungsgemaS umfaSt das Automatisierungssystem ein 
Bussystem, daran angeschlossene Sensor- und Aktor- 
Busteilnehmer und eine Standardsteuerungseinrichtung, welche 
die ProzeSsteuerung mit der Verarbeitung von prozefigebundenen 
5 E/A-Daten und eine sicherheitsbezogene Steuerung mit der 
Verarbeitung von sicherheitsbezogenen Daten, d.h. der 
Steuerung von sicherheitsbezogenen Ein- und Ausgangen, 
durchf uhrt . Weiterhin ist ein sogenannter 
Sicherheitsanalysator umfaSt, der mittels einer 

10 entsprechenden Schnittstelle an den Bus angeschlossen ist und 
den DatenfluS uber den Bus mithort, wobei der Analysator zum 
Ausfuhren von sicherheitsbezogenen Funktionen eingerichtet 
ist. Dies betrifft beispielsweise die Ansteuerung eines 
Schutzes zum Abschalten der Versorgungsspannung von 

15 Systemkomponenten oder die Ermittlung von Qualitatsdaten. 

Derartige Qualitatsdaten konnen allgemeine Systemparameter, 
z.B. Daten uber das Auftreten von Fehlern in 

Systemkomponenten oder Busubertragungs fehlern umfassen. Das 
Automatisierungssystem zeichnet sich dadurch aus, dafi die 
20 Standardsteuereinrichtxmg zumindest einen 

sicherheitsbezogenen Ausgang uber den Bus ansteuert, sie kann 
jedoch auch selbst einen derartigen sicherheitsbezogenen 
Ausgang aufweisen. Erf indungsgemafi bezeichnet ein 
sicherheitsbezogener Ausgang eine Senke einer 

25 Sicherheitsinf ormation, die in Abhangigkeit der Information 
sicherheitsgerichtete Ablaufe startet, beispielsweise eine 
Maschine herunterf ahrt oder gar durch Unterbrechen des 
Versorgungsstromes eine Maschine abschaltet. Der 
Sicherheitsanalysator ist im erf indungsgemaSen 

30 Automatisierungssystem zur Uberprufung und/ oder zum 

Verarbeiten von sicherheitsbezogenen Daten, insbesondere 
sicherheitsbezogenen Verknupfungsdaten im Busdatenstrom 
ausgebildet. Dabei sind sicherheitsbezogene Verknupf ungsdaten 
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beispielsweise Daten, welche die sicherheitsbezogene 
Steuerung nach der Verarbeitung von sicherheitsbezogenen 
Daten an sicherheitsbezogene Ausgange sendet . 

Damit wird ein System bereitgestellt , welches extrem flexibel 
auf die jeweiligen Anf orderungen an das 
Automatisierungssystem eingestellt werden kann. 
Beispielsweise kann jeder Sicherheitsbuskomponente ein 
derartiger Sicherheitsanalysator zugeordnet oder auch ein 
Sicherheitsanalysator in die Sicherheitskomponente , 
beispielsweise einen Sicherheitsbusteilnehmer selbst 
integriert werden, es ist jedoch auch moglich, da£ ein 
einzelner Sicherheitsanalysator die Verarbeitung 
sicherheitsbezogener Daten oder die Uberprufung der 
sicherheitsbezogenen Verknupf ungsdaten im Busdatenstrom fur 
mehrere Sicherheitsbuskomponenten oder gar alle 
Sicherheitsbuskomponenten des Systems vornimmt . 

Das Prinzip der Erfindung beruht auf der Erkenntnis des 
Erfinders, daS die in heutigen Automatisierungsanlagen 
eingesetzte Elektronik selbst nur selten ausfallt. Die 
Integration der aktuellen digitalen Sicherheitstechnik in die 
Automatisierungstechnik in Form von Sicherheitssteuerungen 
oder Sicherheitsbussystemen nach dem Stand der Technik hat 
hauf ig den Nachteil einer abnehmenden Verf ugbarkeit des 
Systems. Um diese Ausf allzeiten zu reduzieren, kommen deshalb 
neben den genannten Sicherheitskomponenten auch 
Verfugbarkeitsstrukturen zum Einsatz, die ihrerseits aber zu 
einer nicht unerheblichen Zunahme der Kosten durch den 
erhohten Hardware -Auf wand fuhren. 

Die Erfindung setzt deshalb auf der Zuverlassigkeit heutiger 
Automatisierungssysteme auf und integriert eine reine 
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Notf all-Elektronik bzw. -Software, die erst dann aktiv in den 
Betrieb der Anlage eingreift, wenn die Standardtechnik 
fehlerhaft arbeitet. Die Standardsteuerungseinrichtung 
verarbeitet deshalb auch sicherheitsbezogene Daten, d.h. sie 
steuert sicherheitsrelevante Ein- und Ausgange. Insbesondere 
die erzeugten sicherheitsbezogenen Verknupf ungsdaten im 
Busdatenstrom werden jedoch vom Sicherheitsanalysator 
abgehort und uberpruft. Dies hat fur den Anwender den 
Vorteil, daS eine strikte Trennung der Sicherheitstechnik und 
der Standardtechnik bei der Programmierung nicht mehr 
unbedingt notwendig ist. Das erf indungsgemaSe 
Automat isierungs system ist auf alle Systeme mit einem Bus, 
insbesondere auf Bussysteme mit Master- Slave- 

Buszugrif f sverf ahren anwendbar. Unabhangig von der Anordnung 
des Sicherheitsanalysators im Fernbus-Abschnitt kann dieser 
bei einem beispielhaf ten seriellen Bussystem nach EN 50 254 
alle IN-Daten auf dem Bus lesen, der Umfang der mithorbaren 
OUT -Daten hangt jedoch von der Anordnung des 
Sicherheitsanalysators im System ab. Die Bezeichnung 
Busdatenstrom bezeichnet dabei erf indungsgemaS alle uber dem 
Bus ubermittelte Inf ormationen, insbesondere auch die in 
einem Summenrahmen uber den Bus transport iert en Daten. 

Urn den einschlagigen Sicherheitsanf orderungen zu genugen, 
kann der Sicherheitsanalysator im Ansprechen auf die 
Uberpruf ung und/oder die Verarbeitung von 
sicherheitsbezogenen Daten, insbesondere von 
Verknupf ungsdaten im Busdatenstrom, die notwendigen 
sicherheitsbezogenen Funktionen auslosen. Hierbei kann der 
Sicherheitsanalysator sowohl auf OUT-Daten, d.h. 
Verknupfungsdaten der Standardsteuereinrichtung reagieren als 
auch auf IN-Daten, d.h. Inf ormationen im Busdatenstrom, 
welche von einzelnen E/A-3usteilnehmem an die 
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Standardsteuereinrichtung gesendet wurdert. 

Um einen Fehler in sicherheitsbezogenen Verknupf ungsdaten, 
welche uber den Bus transportiert werden, zu erkennen, kann 
5 der Sicherheitsanalysator eine frei programmierbare 

Logikeinrichtung aufweisen, in welcher die abgehorten Daten, 
insbesondere die abgehorten sicherheitsbezogenen Daten 
verarbeitet werden. Auf diese Weise kann der 
Sicherheitsanalysator durch das Nachbilden der 

10 sicherheitsbezogenen Verknupfungen der Standardsteuerung 

deren als OUT-Daten uber den Bus gesendet en Verknupfungsdaten 
uberprufen und im Ansprechen auf die Uberprufung oder den 
Vergleich notwendige sicherheitsbezogene Funktionen 
ausfuhren. Um die Anlage beispielsweise in einen sicheren 

15 Zustand zu bringen, kann der Sicherheitsanalysator einen 

Ausgang umfassen, uber welchen eine Baugruppe, insbesondere 
ein Busteilnehmer des Automatisierungsbussystems ein- oder 
ausschaltbar ist. Die Abschaltung kann durch Trennen von der 
Spannungsversorgung realisiert werden. Um zusammenhangende 

20 bzw. voneinander abhangende Busteilnehmer in Gesamtheit in 
einen sicheren Zustand zu bringen, kann der 

Sicherheitsanalysator zur Abschaltung eines Busstichs, einer 
mehrere, einander zugeordnete Busteilnehmer umfassende 
Sicherheitsinsel oder zum Abschalten von Komponenten nach 
25 einer im Analysator abgelegten Verrieglungslogik eingerichtet 
sein. Es ist jedoch auch moglich, daS uber den 
sicherheitsbezogenen Ausgang des Sicherheitsanalysators die 
Gesamtanlage von der Spannungsversorgung abgetrennt wird. 

30 Der Sicherheitsanalysator kann sicherheitsbezogene 

Inf ormationen neben dem Abhoren des Busses weiterhin uber 
einen direkten Eingang erfassen, mitt els welchem der 
Sicherheitsanalysator mit einer sicherheitsbezogenen 
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Einrichtung des Automatisierungsbussystems verbunden ist . 
Diese Einrichtung kann dabei, mu£ aber nicht an den Bus 
angeschlossen sein. Beispielsweise umfaJSt die so zugangliche 
sicherheitsbezogene Information die Moment andrehzahl der 
schon erwahnten Drehmaschine , wobei der Analysator im Falle 
des Uberschreitens einer vorbestimmten Grenzdrehzahl die 
Maschine mittels ihres Ausgangs abschaltet. 

Urn eine Trennung der sicherheitsbezogenen Inf ormationen und 
der ProzeSdaten im System und insbesondere in der Steuerung 
durchzufuhren, kann das Bussystem uber eine Anschaltbaugruppe 
mit einem Host verbunden sein, wobei die prozeSbezogene 
Steuerung der Standardsteuereinrichtung im Host und die 
sicherheitsbezogene Steuerung der Standardsteuereinrichtung 
in der Anschaltbaugruppe angeordnet ist. Vorteilhaf terweise 
lafit sich die sicherheitsbezogene Steuerung beispielsweise in 
Form von Sof tware-Funktionsbausteinen, welche die notwendigen 
Verknupfungen der sicherheitsrelevanten E/A- Inf ormationen 
vornehmen, realisieren. 

Die sicherheitsbezogene Steuerung kann somit in gleicher 
Weise implementiert werden wie die ProzeSsteuerung . Bei der 
Codierung der sicherheitsbezogenen Verknupfungen ist der 
Programmierer ebenso wie bei der ProzeSsteuerung von der 
verwendeten Programmiersprache unabhangig. 

Die Verknupfungen auf dem Sicherheitsanalysator haben in etwa 
denselben Umf ang wie die Verknupf ungen auf dem Host 
beziehungsweise auf der Anschaltbaugruppe und konnen entweder 
in derselben oder aber in einer anderen Programmiersprache 
erstellt werden. Der Sicherheitsanalysator fuhrt zusatzlich 
einen Vergleich der Verknupfungen zwischen den Ergebnissen 
des Host -Systems beziehungsweise der Anschaltbaugruppe und 
seinen eigenen durch und startet beispielsweise beim 
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Auftreten von Ungleichheit sicherheitsgerichtete Funktionen. 

Das Abnahmeverf ahren eines solchen Systems kann erheblich 
einfacher erfolgen, als es bei den Systemen nach dem Stand 
5 der Technik der Fall ist. Die Anlage kann mit alien 

Sicherheitsverriegelungen in Betrieb genommen werden, ohne 
die Sicherheitstechnik aktiv geschaltet zu haben. Die 
notwendigen Verknupf ungen befinden sich dabei im Host -System 
Oder in der Anschaltbaugruppe. Die Funktionsf ahigkeit der 

10 Anlage kann zunachst im Black-Box-Test untersucht werden. In 
einem zweiten Schritt wird dann die Sicherheitstechnik in 
Form der beziehungsweise des Sicherheitsanalysators (en) 
zugeschaltet . Da dort nur die Sicherheitsverknupf ungen, nicht 
aber die ProzeSdatenverknupfungen vorhanden sind, laSt sich 

15 nun der White-Box-Test schnell und ubersichtlich durchfuhren, 
wodurch sich die Abnahmezeiten erheblich reduzieren lassen. 
Da die sicherheitsbezogenen Verknupf ungsalgorithmen auch auf 
dem Host-System beziehungsweise der Anschaltbaugruppe 
ablaufen, ist ein Vergleich mit denen des Analysators schnell 

20 moglich. 

Wird der Bus als serieller Ringbus, beispielsweise als Bus 
gemaS EN 502 54 ausgebildet, und ist ein Sicherheitsanalysator 
im Top-Level-Fernbus-Abschnitt des Automatisierungssystems 

25 angeordnet, so hat dieser Zugriff auf alle IN-Daten des 

Systems, da in dem bezeichneten System die Daten in einer 
hin- und in einer ruckf uhrenden Ubertragungsleitung durch 
jeden Busteilnehmer gefuhrt werden. Damit ist der Analysator 
in der Lage, ein auf die IN-Daten und die ihm zuganglichen 

30 Out -Daten beschranktes ProzeSabbild aufzubauen. 



Bei Bussystemen mit Linientopologie kann der 

Sicherheitsanalysator in der Regel an jedem Ort im Bussystem 
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alle Information mitlesen und damit ein vollstandiges 
ProzeSabbild anlegen. 

In einer vorteilhaf ten Ausf unrungsf orm der Erfindung ist der 
Sicherheitsanalysator in einem seriellen Ringbussystem direkt 
nach dem Host oder der Anschaltbaugruppe angeordnet, so daS 
dieser ein vollstandiges ProzeSabbild aufbauen kann. Somit 
ist der Sicherheitsanalysator in der Lage jederzeit und in 
vollem Umfang sicherheitsgerichtete Daten, insbesondere 
sicherheitsgerichtete Verknupfungsdaten auf ihre Richtigkeit 
zu uberprufen beziehungsweise zu verarbeiten, da in diesem 
Fall der Analysator Zugriff auf alle In- und Out-Daten, d.h. 
alle Eingangs- und Ausgangsdaten besitzt. 

Ist der Sicherheitsanalysator in der Anschaltbaugruppe des 
beschriebenen seriellen Ringbussystems angeordnet, so kann 
die Funktion des Sicherheitsanalysators mittels einer 
Softwarekomponente in der Anschaltbaugruppe ausgefuhrt sein. 
Vorteilhafterweise weist die Anschaltbaugruppe hierbei einen 
sicherheitsbezogenen Ausgang auf, urn entsprechende 
sicherheitsgerichtete Funktionen, beispielsweise das 
Abschalten einer Versorgungsspannung mittels eines Schutzes 
auszufuhren. 

Das Ausfuhren derartiger sicherheitsgerichteter Funktionen 
kann jedoch in einer besonderen vorteilhaf ten Ausf unrungsf orm 
der Erfindung durch direkt e Datenmanipulation des 
Busdatenstroms durch den Sicherheitsanalysatord realisiert 
werden. Das Manipulieren umfafit das Umschreiben, das 
Erganzen, das Einfugen sowie das Substituieren sowohl von 
OUT-Daten als auch von IN-Daten des Busdatenstroms. Bei 
Kenntnis des ProzeSabbildes kann somit der 

Sicherheitsanalysator in weitreichender Form auf den Betrieb 
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des erf indungsgemafien Automat isierungs systems EinfluS nehmen 
und damit sicherstellen, da£ die Anlage zu jedem Zeitpunkt in 
definierten Zustanden gehalten werden kann. Das Prinzip der 
Datenmanipulation kann weiterhin auch dazu benutzt werden, urn 
einen in einem im Busstich angeordneten Sicherheit sanalysator 
ira allgemeinen nicht zugangliche Busdatenstromanteile 
verfugbar zu machen, indem ein im Fernbus angeordneter 
Sicherheitsanalysator die betref fenden Daten in Daten 
wandelt, welche in den betref fenden Busstich transportiert 
werden. Auf diese Weise ist eine direkte Datenverbindung 
zwischen Sicherheitsanalysatoren realisiert. 

Die Datenmanipulation durch einen Sicherheitsanalysator kann 
in einem nach dem Master-Slave-Prinzip arbeitenden Bussystem 
auch verwendet werden, urn Daten zwischen zumindest zwei 
Slaves, insbesondere zwischen einzelnen Busteilnehmern, 
mittels einer Punkt-zu-Punkt-Verbindung uber wenigstens einen 
Sicherheitsanalysator zu ubertragen, wobei der 
Sicherheitsanalysator Daten im Busdatenstrom umkopiert. Der 
Master ist bei dieser Daten-Verbindung je nach Lage der 
beiden Slaves im Bussystem unter Umstanden nicht eingebunden, 
so daS der Datentransport vollig unabhangig vom Busmaster 
realisiert wird. Eine derartige Datenverbindung zwischen zwei 
Slaves ist im ubrigen auch durch die Ausfuhrung einer 
Kopierfunktion durch den Busmaster moglich. Wahrend bei einem 
Sicherheitsanalysator als Mittler, wie vorstehend 
beschrieben, zumindest in bestimmten Fallen der Busmaster 
nicht in den Datentransport eingebunden ist, ist der 
Busmaster fur die zweite Form einer Punkt-zu-Punkt-Verbindung 
zwischen zwei Slave's zwingend notwendig. 

Das Austauschen von Daten zwischen zumindest zwei Slaves, 
beispielsweise zwischen einzelnen Busteilnehmern, mittels 
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einer Punkt- zu- Punkt -Verbindung kann weiterhin auch durch die 
Einbindung des Masters oder der Steuerung in die Ubertragung 
realisiert werden, wobei in diesem Fall der Master bzw. die 
Steuerung die Daten im Busdatenstrom umkopiert. 

Zur Erhohung der Datensicherheit konnen die 

sicherheitsbezogenen Daten in einem Sicherheitsprotokoll uber 
den Bus ubertragen werden. Beispielsweise kann das 
Sicherheitsprotokoll zusatzlich zu dem Sicherheitsdatum das 
negierte Sicherheitsdatum, eine laufende Nummer, eine Adresse 
und/oder eine Datensicherungsinf ormation (CRC) umfassen. 

Die Flexibilitat des Systems zeigt sich insbesondere in einer 
weiteren vorteilhaf ten Ausf uhrungsf orm der Erfindung, bei 
we 1 cher das erf indungsgemafie Automatisierungssystem mehrere 
Sicherheitsanalysatoren umfaSt, wobei in einem 
Sicherheitsanalysator ablauf ende sicherheitsbezogene 
Verknupfungen redundant in wenigstens einem weiteren 
Sicherheitsanalysator durchgefuhrt werden und durch beide 
Sicherheitsanalysatoren zumindest teilweise die gleichen 
Sicherheitsfunktionen ausgefuhrt und ausgelost werden. Dabei 
konnen die betreffenden Sicherheitsanalysatoren zusatzlich zu 
den redundant en, d.h. auf beiden Analysatoren ablauf enden 
Verknupfungen auch unterschiedliche sicherheitsbezogenen 
Verknupfungen ausfuhren. 

Die Erfindung wird im folgenden durch das Beschreiben einiger 
Ausfuhrungsf ormen unter Zugrundelegen der Zeichnungen 
er 1 aut er t , wobe i 

Fig- 1 in einer Prinzipdarstellung eine erste 
Ausfuhrungsf orm des erf indungsgemaSen 
Automatisierungssystems mit zwei 

Sicherheitsanalysatoren im Fernbus-Abschnitt zeigt, 
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Fig. 2 in einer Prinzipskizze eine weitere Ausf uhrungsf orm 
der Erfindung darstellt, wobei ein 
Sicherheitsanalysator direkt hinter der 
Anschaltbaugruppe angeordnet ist, 

Fig. 3 das erf indungsgemafie Automatisierungssystem in 
einer Prinzipskizze mit einem in die 
Anschaltbaugruppe integrierten 
Sicherheitsanalysator sowie einem zweiten 
Sicherheitsanalysator am Kopf eines Busstichs 
zeigt , 

Fig. 4 ein erf indungsgemaSes Automatisierungssystem mit 

zwei Sicherheitsanalysatoren darstellt, wobei deren 

Ausgange miteinander verbunden sind, 
Fig. 5 in einer prinzipiellen Blockbilddarstellung einen 

Sicherheitsanalysator mit verschiedenen Ein- und 

Ausgangen zeigt und 
Fig. 6a und 6b in einer Prinzipdarstellung die 

Datenmanipulation des Busdatenstroms durch den 

Sicherheitsanalysator zeigt . 



In Fig. 1 ist in einer Prinzipdarstellung das 
erf indungsgemaSe Automatisierungssystem 1, d.h. eine Steuer- 
und Datenubertragungsanlage gemafi der Erfindung dargestellt. 
Es umfaSt einen Bus 2, an welchen E/A-Busteilnehmer mit 
zugeordneten Sensoren und Aktoren angeschlossen sind. Eine 
Standardsteuerungseinrichtiing 4 fuhrt uber den Bus die 
ProzeSsteuerung mit der Verarbeitung von prozeSgebundenen 
E/A-Daten durch. Hierzu empfangt die Steuerung 4 Daten von 
den einzelnen Busteilnehmern 31-38, die wiederum selbst von 
der Standardsteuerungseinrichtung Daten empfangen. Weiterhin 
ist die Standardsteuerungseinrichtung mit der Verarbeitung 
von sicherheitsbezogenen Daten bef a£t . In diesem Sinne 
ubernimmt die Standardsteuerungseinrichtung neben den 
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prozefigebundenen Ein- und Ausgangen auch die Verarbeitung der 
sicherheitsrelevanten Ein- und Ausgange . GemaS der Erfindung 
bezeichnet ein sicherheitsbezogener Eingang eine 
Inf ormat ions que lie, wobei die durch die Quelle abgegebene 
Information in irgendeinem Zusammenhang zur Sicherheit des 
erf indungsgema£en Automat isierungssys terns steht . 
Beispielsweise ist der Drehzahl sensor einer Drehmaschine, 
welche uber einen Busteilnehmer 32 an den Bus 2 angeschlossen 
ist, ein derartiger sicherheitsrelevanter Eingang, da die 
Maschine nicht uber eine vorgegebene Grenze drehen darf . Ein 
weiteres Beispiel fur einen sicherheitsbezogenen Eingang in 
der beschriebenen Ausf uhrungsf orm der Erfindung ist ein 
Photodetektor einer Lichtschranke , mit welcher der 
Arbeitsbereich der Drehmaschine uberwacht wird. Auch in 
diesem Fall besitzt die Standardsteuerungseinrichtung uber 
den Bus Zugriff auf die Information des sicherheitsbezogenen 
Eingangs. Nach der Verarbeitung der sicherheitsbezogenen 
Daten, beispielsweise in Form einer logischen Verknupfung 
sendet die Steuerungseinrichtung 4 diese sicherheitsbezogenen 
Verknupf ungsdaten an sicherheitsbezogene Ausgange . 
Beispielsweise kann die Standardsteuerungseinrichtung einen 
Abschaltbef ehl fur die erwahnte Drehmaschine uber den Bus zum 
zugeordneten Busteilnehmer 32 absenden, wenn die 
Hochstdrehzahl uberschritten wurde und damit eine Gefahr 
besteht, daS die Anlage auSer Kontrolle gerat • Auch in diesem 
Fall kommuniziert die sicherheitsbezogene Steuerung in der 
Standardsteuerungseinrichtung uber den Bus mit dem 
sicherheitsbezogenen Ausgang. 

Das erf indungsgemaSe Automatisierungssystem umfaEt femer 
zwei Sicherheitsanalysatoren 5, 5 X , welche jeweils mittels 
einer Schnittstelle den DatenfluS uber das Bussystem in 
Echtzeit mithoren. Die Sicherheitsanalysatoren sind zum 
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Verknupfen und/oder Verarbeiten von sicherheitsbezogenen 
Daten im Busdatenstrom eingerichtet . Dies bedeutet, daS sie 
sicherheitsbezogene Verknupfungen der 

Standardsteuerungseinrichtung nachvoll Ziehen konnen, da ihnen 
5 die uber den Bus transportierten sicherheitsbezogenen Daten 
zuganglich sind. 

Hierzu weisen die Sicherheitsanalysatoren 5, 5* jeweils eine 
frei programmierbare Logikeinrichtung auf, in welcher die 

10 abgehorten Daten/ insbesondere die abgehorten 

sicherheitsbezogenen Daten verarbeitet werden. Beispielsweise 
konnen die Sicherheitsanalysatoren 5, 5 % durch Nachbilden der 
sicherheitsbezogenen Verknupfungen der S t andar ds t eue rung 
deren als Ausgangsdaten uber den Bus gesendeten 

15 Verknupf ungsdaten uberprufen. In vorliegendem Fall beziehen 
sich die sicherheitsbezogenen Verknupfungen auf einen 
einzelnen Busteilnehmer 32 . In diesem Fall ist der 
Sicherheitsanalysator 5 fur die sicherheitsbezogenen Ein- 
bzw. Ausgange, welche diesen Busteilnehmer zugeordnet sind, 

20 zustandig. In der in Fig. 1 dargestellten Ausfuhrungsf orm der 
Erfindung sind die Sicherheitsanalysatoren 5 bzw. 5 1 keine 
logischen Busteilnehmer des Automatisierungssys terns . Der 
Sicherheitsanalysator 5 weist jedoch einen 
sicherheitsbezogenen Ausgang 6 auf, uber welchen der dem 

25 Sicherheitsanalysator zugeordnete Busteilnehmer 32 

ausgeschaltet werden kann. Dies geschieht mittels einer 
Schaltung eines Schutzes 7, welcher den Busteilnehmer bzw. 
die angeschlossenen Baugruppen und Maschinen von der 
Versorgungsspannung trennt. Auf diese Weise fuhrt der 

30 Sicherheitsanalysator 5 im Ansprechen auf die Uberprufung 
oder den Vergleich eine sicherheitsbezogene Funktion, hier 
das Abschalten der Versorgungsspannung aus . Wenn 
beispielsweise ein Fehler der sicherheitsbezogenen 
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Verknupfungsdaten aus der Standardsteuereinrichtung erkannt 
wird, kann der Sicherheitsanalysator uber den beschriebenen 
Ausgang den betroffenen Busteilnehmer abschalten, da die 
sicherheitsbezogene Steuerung durch die 
Standardsteuerungseinrichtung nicht mehr vorgabegemafi 
arbeitet. In ahnlicher Weise wird ein Busteilnehmer 
abgeschaltet , wenn die sicherheitsbezogene Steuerung nicht 
notwendige Daten an den Busteilnehmer sendet und 
inf olgedessen Gefahr besteht, daS die Anlage in einen 
undef inierten Zustand gerat. 

In der beschriebenen Aus fuhrungs form ist uber einen 
Buskoppler 9 ein Lokalbusstich 8 mit drei Busteilnehmern 33 , 
34 und 35 angeordnet. Diese Busteilnehmer sind von der 
Funktionf ahigkeit und vom Betrieb des Busteilnehmers 32 
abhangig, welcher dem Sicherheitsanalysator 5 zugeordnet ist. 
Demnach ist es notwendig, beim Abschalten des Busteilnehmers 
3 2 auch die Busteilnehmer des Lokalbusstichs 8 von der 
Versorgungsspannung zu trennen. Diese Verrieglungslogik ist 
im Sicherheitsanalysator 5 abgelegt. Somit sind insgesamt 
vier Busteilnehmer mit ihren nachgeordneten Baugruppen und 
Maschinen abzuschalten, was in Fig, 1 schematisch durch einen 
Vierf ach-Schutz 7 dargestellt ist. 

Der Sicherheitsanalysator 5 1 ist wie der erste 
Sicherheitsanalysator 5 zum Abhoren der uber den Bus 
transportierten Daten eingerichtet . Im Gegensatz zum ersten 
Sicherheitsanalysator 5 weist er jedoch keinen Ausgang auf , 
mit welchem er sicherheitsbezogene Funktionen ausfuhren kann. 
Statt dessen umfaSt er einen sicherheitsbezogenen Eingang 10 # 
uber welchen der Sicherheitsanalysator mit einer 
sicherheitsbezogenen Einrichtung 11 des 
Automatisierungssystems zur Erfassung von 
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sicherheitsbezogenen Daten verbunden ist. Im vorliegenden 
Fall umfafit diese Einrichtung 11 einen Photodetektor , welcher 
als Teil einer Lichtschranke den Arbeitsbereich eines 
SchweiSroboters uberwacht. Der Sensor ist nicht mittels eines 
5 Busteilnehmers an den Automat isierungsbus angeschlossen, 

sondern direkt an den Sicherheitsanalysator 5 ' . Im Ansprechen 
auf die uber den sicherheitsbezogenen Eingang 10 des 
Sicherheitsanalysators 5' erfaSten sicherheitsbezogenen Daten 
fuhrt auch hier der Sicherheitsanalysator eine 

10 sicherheitsbezogene Funktion aus. Wird durch den 

Photodetektor 11 das Eindringen einer Person in den 
Arbeitsbereich des Roboters erfa&t, so schaltet der 
Sicherheitsanalysator 5' den entsprechenden Busteilnehmer 38 
und seine zugeordneten Baugruppen und den Roboter selbst aus. 

15 Hierzu weist der Sicherheitsanalysator 5 ! eine Einrichtung 
zum Manipulieren der auf den Bus ubertragenen Eingangs- und 
Ausgangsdaten auf. Dabei kann zumindest ein Datum des 
Datenstroms uberschrieben, geloscht und/oder zumindest ein 
Datum in den Busdatenstrom eingefugt werden. Ein derartiger 

20 Vorgang ist in den Fig. 6a und 6b veranschaulicht . Diese 

Figuren zeigen das Veranden von Eingangs- bzw. Ausgangsdaten 
der Standardsteuereinrichtung 4 durch den 
Sicherheitsanalysator 5 % . In beiden Fallen wird eine 
Inf ormationseinheit 12 in einen Speicher des 

25 Sicherheitsanalysators eingelesen und daraufhin an die 

entsprechende Stelle des Datenstroms eine aus einem anderen 
Speicher des Sicherheitsanalysators entnommene 
Inf ormationseinheit eingeschrieben. Die Abschaltung des 
Busteilnehmers und der daran angeschlossenen Baugruppen und 

30 damit des Roboters kann sowohl uber die Manipulation der 
Eingangsdaten als auch uber die Manipulation der 
Ausgangsdaten der Standardsteuereinrichtung vorgenommen 
werden. Wird beispielsweise der Eingangsdatenstrom derartig 
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verandert, daS der Standardsteuerungseinrichtung 4 ein 
Betriebsparameter auSerhalb der vorgegebenen Grenzen gemeldet 
wird, so schaltet die Standardsteuerungseinrichtung uber den 
Bus mittels eines dem bestimmten Busteilnehmer 3 8 
ubermittelten sicherheitsbezogenen Verknupf ungsda turns diesen 
Busteilnehmer und damit den SchweiSroboter ab. In gleicher 
Weise kann der Sicherheitsanalysator " eine Freigabe durch 
Standardsteuereinrichtung mittels Uberschreiben des 
entsprechenden Ausgangsdatums ruckgangig machen. 

Fig. 6b zeigt den Fall, daS der Sicherheitsanalysator den 
Ausgangsdatenstrom auf dem Bus verandert. In diesem Fall 
manipuliert der Sicherheitsanalysator die an den 
Busteilnehmer 3 8 gesendeten Daten derartig, daS der 
Busteilnehmer seinen Ausgang und damit auch den 
SchweiSroboter abschaltet. 

Fig. 2 zeigt eine weitere Ausfuhrungsf orm der Erfindung. 
Dabei ist der Bus ein nach dem Master-Slave-Prinzip 
arbeitendes System, wobei die Standardsteuerungseinrichtung 
als Master und die einzelnen Busteilnehmer als Slaves 
fungieren. Das Bussystem ist uber eine Anschaltbaugruppe 41 
mit einem Host 4 0 verbunden, wobei die prozeSbezogene 
Steuerung im Host und die sicherheitsbezogene Steuerung in 
der Anschaltbaugruppe angeordnet ist bzw. ablauft. Die Anlage 
umfaSt einen einzelnen Sicherheitsanalysator 5, der direkt 
hinter die Anschaltbaugruppe zum Abhoren des Busdatenstroms 
an dem Bus angekoppelt ist. Durch diese MaSnahme wird 
sichergestellt , dafi der Sicherheitsanalysator an dem 
seriellen Bus mit Ringstruktur den gesamten Eingangs- als 
auch den gesamten Ausgangs-Datenstrom auf dem Bus abhoren 
kann. Aufgrund der Erkenntnis des gesamten Datenstroms uber 
den 3us legt der Sicherheitsanalysator 5 in der beschriebenen 
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Ausfuhrungsforrn ein vollstandiges ProzeSabbild in einem dafur 
vorgesehenen Speicher ab. Demzufolge ist der 
Sicherheitsanalysator in der Lage, die Gesamtheit der 
sicherheitsbezogenen Verknupf ungsdaten der 

sicherheitsbezogenen Steuerung in der Anschaltbaugruppe zu 
uberprufen und bei Bedarf , d.h. beim Auftreten eines Fehlers, 
den Ausgang 6 zum Abschalten der Gesamtanlage mittels des 
Schutzes 7 sicherheitsgerichtet derart anzusteuern, daS die 
Versorgungsspannung fur die Gesamtanlage ausgeschaltet wird. 

Eine Modif ikation der in Fig. 2 dargestellten Ausfuhrungsforrn 
zeigt das erf indungsgemaSe Automat isierungs system in Fig. 3. 
Der Sicherheitsanalysator 5 ist hier in die Anschaltbaugruppe 
41 integriert. Die sicherheitsbezogene Steuerung der 
Standardsteuerungseinrichtung als auch die 
sicherheitsbezogene Datenverarbeitung des 

Sicherheitsanalysators laufen in der Anschaltbaugruppe in 
getrennten und unabhangigen Logikbausteinen ab. Weiterhin ist 
ein zweiter Sicherheitsanalysator 5 1 1 am Kopf des 
Lokalbusstichs 8 angeordnet . Diese Anordnung bedingt 
wiederum, daS der Sicherheitsanalysator 5 1 1 die Gesamtheit 
aller Eingangs- als auch der Ausgangsdaten fur die 
Busteilnehmer 33 , 34 und 35 des Lokalbusstich 8 abhoren kann 
und demgemaS ein vollstandiges ProzeSabbild fur den 
ProzeSablauf innerhalb des Lokalbusstichs anzulegen. Der 
Sicherheitsanalysator 5 11 ist somit wie der 

Sicherheitsanalysator 5 im Fembus-Abschnitt in der Lage, die 
Gesamtheit der sicherheitsbezogenen Verknupf ungsdaten der 
sicherheitsbezogenen Steuerung fur den Lokalbusabschnitt in 
der Anschaltbaugruppe zu uberprufen und bei Bedarf wie oben 
stehend beschrieben, uber eine Datenmanipulation die 
notwendigen sicherheitsbezogenen Funktionen auszulosen. Auf 
diese Weise lassen sich hochste Sicherheitsanf orderungen, die 
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an die im Busstich 8 vorliegenden sicherheitsre levant en Ein- 
und Ausgange gestellt sind, erfullen, da der Lokalbusstich 8 
sowohl durch die sicherheitsbezogene Steuerung der 
Standardsteuereinrichtung als auch durch den 
Sicherheitsanalysator 5 und durch den Sicherheitsanalysator 
5' 1 abgesichert ist. 

Eine weitere Ausf uhrungsf orm der Erfindung zeigt Fig. 4. Das 
erf indungsgemaSe Automat isierungssyst em umfaSt zwei 
Sicherheitsanalysatoren 5 und 5' , deren sicherheitsbezogenen 
Ausgange 6 und 6' miteinander gekoppelt sind. Beide Ausgange 
steuern eine Vielf ach-Schutzeinrichtung 7 zum Abschalten der 
Versorgungsspannung fur das Gesamt system. Die Anlage wird 
durch eine Standardsteuerungseinrichtung 4 uber den seriellen 
Bus 2 gesteuert. Der Sicherheitsanalysator 5 kann aufgrund 
seiner Anordnung im System die Gesamtheit aller Eingangs- und 
Ausgangsdaten auf dem Bus abhoren, ausgenommen die 
Eingangsdaten des ersten Busteilnehmers 31, der zwischen der 
Steuerungseinrichtung 4 und dem Sicherheitsanalysator 5 
angeordnet ist. Der Sicherheitsanalysator 5' kann alle 
Eingangsdaten am Bus abhoren, alle Ausgangsdaten aufier die 
fur den letzten Busteilnehmers sind ihm jedoch nicht 
zuganglich. Der erste Sicherheitsanalysator 5 ist deshalb 
durch Umkopieren der betreffenden Daten im BusdatenfluS in 
der Lage, die ihm zuganglichen Ausgangsdaten in Eingangsdaten 
umzukopieren und somit die dem Sicherheitsanalysator 5' 
eigentlich nicht zuganglichen Ausgangsdaten zum Anlegen eines 
ProzeSabbildes fur den abzusichernden sicherheitsbezogenen 
Busteilnehmer 32 auch dem Sicherheitsanalysator 5 1 verfugbar 
zu machen. Da beide Sicherheitsanalysatoren dieselbe 
Eingangsinf ormation erhalten, konnen sie sich im Hinblick auf 
die sicherheitsbezogenen Ein- bzw. Ausgange des 
abzusichernden Busteilnehmers 32 uberwachen. Auf diese Weise 



WO 00/79352 



21 



PCT/DEOO/01901 



ist eine verteilte Redundanz der Sicherheitstechnik im 
erf indungsgemaSen Automatisierungssystem realisiert. Im 
vorliegenden Beispiel weist der Sicherheitsanalysator 5* 
weiterhin einen sicherheitsbezogenen Eingang 10 auf, an 
welchen ein Notschalter 13 angeschlossen ist. Auf das 
SchlieSen des Notschalters 13 spricht der 

Sicherheitsanalysator 5' mit der im Sicherheitsanalysator 
zugeordneten sicherheitsbezogenen Funktion an, namlich dem 
Offnen des Schutzes 7 zur Abschaltung der Gesamtanlage . 

Das beschriebene Verfahren des Umkopierens von Eingangsdaten 
in Ausgangsdaten und umgekehrt wird erf indungsgemaS auch dazu 
benutzt, um eine Datenverbindung in dem nach dem Master- 
Slave-Prinzip arbeitenden Automatisierungssystem zwischen 
zwei Slaves zu realisieren ohne daS der Master fur die 
Datenubermittlung benotigt wird. Hierbei kann beispielsweise 
ein einem Busteilnehmer zugeordneter Sicherheitsanalysator 
das zu ubermittelnde Datum des Busteilnehmers in den 
Eingangs-Datenstrom einfugen und somit einem nachf olgenden 
Busteilnehmer ohne die Beanspruchung des Masters zur 
Verfugung stellen. Auf diese Weise laSt sich bei Bedarf auch 
auf einfache Weise ein Multi- oder Broadcast der Information 
zu alien ubrigen nachf olgenden Busteilnehmem verwirklichen. 

In einer nichtdargestellten Ausf uhrungsf orm der Erfindung ist 
der Sicherheitsanalysator in einem zugeordneten 
sicherheitsgerichteten Busteilnehmer integriert . Die 
sicherheitsgerichteten Verknupfungen laufen dabei in einer 
Logikeinheit des Busteilnehmers ab, somit laSt sich im 
Busteilnehmer eingebaute Intelligenz fur die 
sicherheitsgerichteten Verknupfungen nutzen. Da der 
Busteilnehmer eine Busschnittstelle auf weist, veringert sich 
der zusatzliche Hardwareauf wand fur den Sicherheitsanalysator 
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betrachtlich. 

Bei der Datenubertragung in den beschriebenen 
erf indungsgemafien Automatisierungssystemen werden zumindest 
teilweise die sicherheitsbezogenen Daten in einem 
Sicherheitsprotokoll uber den Bus ubertragen. Dieses 
Sicherheitsprotokoll kann je nach Anforderung zusatzlich zum 
Sicherheitsdatum das negierte Sicherheitsdatum, eine Adresse 
und/oder eine Datensicherungsinf ormation in Form eines CRC 
umfassen. Auf diese Weise lassen sich Fehler bei der 
Datenubertragung leicht erkennen. Zu diesem Zweck wird ein im 
erf indungsgemaSen Automat isierungssyst em verwendeter 
Sicherheitsanalysator derartig eingerichtet , daS er das 
Sicherheitsprotokoll lesen und entsprechend auswerten kann. 

Mittels der im Sicherheitsprotokoll ubertragene Adresse des 
Sicherheitsbusteilnehmers kann der Sicherheitsanalysator bei 
geandertern Busaufbau, beispielsweise durch 
sicherheitsbezogene Abschaltung der Komponente, eine 
Anpassung der Programmierung vornehmen bzw. den Datensatz des 
ihm zugeordneten Teilnehmers erkennen und die Veranderung des 
Busaufbaus berucksichtigen. Zusatzlich kann durch die 
Aufnahme der Adresse in das Sicherheitsprotokoll ein 
Ablagefehler durch einen Busfehler oder einen Ausfall einer 
dezentralen Einheit erfaSt werden. 

Eine besondere Ausf uhrungsf orm eines Sicherheitsanalysators 
zur Verwendung im erf indungsgemaSen Automat isierungssystem 
zeigt Fig. 5. Der dargestellte Sicherheitsanalysator 5 weist 
sowohl 4 sicherheitsgerichtete Eingange 10 zur Erfassung 
sicherheitsgerichteter Information von Photodetektoren 11 als 
auch 4 sicherheitsgerichtete Ausgange 6 zum Abschalten der 
Versorgungsspannung von 4 Automatisierungsbuskomponenten 
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durch Schutze auf . Die verschiedenen sicherheitsgerichteten 
Ausgange 6 werden dabei im Ansprechen auf die im 
Sicherheitsanalysator ablaufenden Verknupf ungen, den 
Vergleich mit sicherheitsgerichteten Verknupfungen der 
Standardsteuerung und/oder eine sicherheitsbezogene 
Eingangs information uber den Eingang 10 angesteuert. Hierbei 
ist eine Verrieglungslogik im Sicherheitsanalysator abgelegt, 
die vorgibt, welche sicherheitsgerichteten Funktionen beim 
Auftreten eines bestimmten Fehlers ausgelost werden, d,h. 
welche Komponenten beim Auftreten des Fehlers von der 
Versorgungsspannung abgetrennt werden muss en . 

Es liegt im Rahmen der Erfindung, dafi ein 
Sicherheitsanalysator neben der Verarbeitung von 
sicherheitsbezogenen Daten auch eine ProzeSdatenverarbeitung 
durch f uhrt . 

Weiterhin ist f est zuhalten, daS das Prinzip der Erfindung 
nicht auf die in den Ausf uhrungsbeispielen dargestellten 
Automat is ierungsbussyst erne beschrankt ist, sondern statt 
dessen auf alle Automatisierungsanlagen mit einem Bus 
angewendet werden kann. 
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Patentanspruche : 

1. Automatisierungssystem (1) , zumindest umfassend 

ein Bussystem (2) , daran 

angeschlossene E/A-Busteilnehmer (31-38) und 
eine Standardsteuerungseinrichtung (4; 40, 41), 
sowie wenigstens 

einen Sicherheitsanalysator (5, 5 X , 5 %% ), 
welcher den DatenfluS uber das Bussystem mithort und 
zum Ausfuhren zumindest einer sicherheitsbezogenen 
Funktion ausgebildet ist, 
dadurch gekennzeichnet , daS 

die Standardsteuerungseinrichtung zumindest einen 
sicherheitsbezogenen Ausgang steuert und daS 
der Sicherheitsanalysator zum Uberprufen und/oder 
Verarbeiten von sicherheitsbezogenen Daten im 
Busdatenstrom eingerichtet ist. 

2. Automatisierungssystem (1) nach Anspruch 1, 

dadurch gekennzeichnet , daS der Sicherheitsanalysator 
(5, 5 % , 5 % ') eine frei programmierbare Logikeinrichtung 
aufweist, welche die abgehorten Daten, insbesondere die 
abgehorten sicherheitsbezogenen Daten verarbeitet. 

3. Automatisierungssystem (1) nach Anspruch 1 oder 2, 
dadurch gekennzeichnet, daS 

der Sicherheitsanalysator (5, 5*, 5*M kein logischer 
Busteilnehmer des Automat isierungssyst ems (1) ist und 
dieser zumindest einen sicherheitsbezogenen Ausgang (S) 
aufweist, uber welchen wenigstens eine dem 
Sicherheitsanalysator zugeordnete 3augruppe des 
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Automatisierungssystems , insbesondere wenigstens ein 
Busteilnehmer (31-38), ein- oder ausschaltbar ist. 

4. Automat isierungssystem (1) nach Anspruch 3, 
dadurch gekennzeichnet, daS 

der Sicherheitsanalysator (5, 5*, 5*M zur Abschaltung 
einer Sicherheitsinsel , eines Busstichs (8) und/oder der 
Gesamtanlage eingerichtet ist. 

5. Automat isierungs system (1) nach einem der Anspruche 1 
bis 4, dadurch gekennzeichnet , daS 

der Sicherheitsanalysator (5') zumindest einen 
sicherheitsbezogenen Eingang (10) aufweist, uber welchen 
der Sicherheitsanalysator mit einer sicherheitsbezogenen 
Einrichtung (11) des Automat isiemngssystem zur 
Erfassung von sicherheitsbezogenen Daten verbunden ist. 

6. Automatisierungssystem (1) nach einem der Anspruche 1 
bis 5, dadurch gekennzeichnet, daS 

das Bussystem (2) uber eine Anschaltbaugruppe (41) mit 
einem Host (4 0) verbunden ist, 

wobei die prozeJSbezogene Steuerung im Host und die 
sicherheitsbezogene Steuerung in der Anschaltbaugruppe 
angeordnet ist . 

7. Automatisierungssystem (1) nach einem der Anspruche 1 
bis 6, dadurch gekennzeichnet, daS 

der Bus (2) ein serieller Bus ist und zumindest ein 
Sicherheitsanalysator .(5, 5 X ) im Fernbus-Abschnitt des 
Automat isierungs systems angeordnet ist. 

8. Automatisierungssystem (1) nach Anspruch 7, 
dadurch gekennzeichnet, daS 
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ein Sicherheitsanalysator (5) direkt nach dem Host (40) 
oder der Anschaltbaugruppe (41) angeordnet ist. 

9. Automatisierungssystem (1) nach einem der Anspruche 1 
5 bis 8, dadurch gekennzeichnet , daS 

ein Sicherheitsanalysator (5) in der Anschaltbaugruppe 
(41) angeordnet ist . 



10. Automatisierungssystem (1) nach einem der vorstehenden 
10 Anspruche 1 bis 9, dadurch gekennzeichnet, daS der 

Sicherheitsanalysator (5, 5 s , 5* % ) eine 
Speichereinrichtung zum Anlegen eines ProzeSabbildes 
umf a£t . 

15 11. Automatisierungssystem (1) nach einem der vorstehenden 
Anspruche 1 bis 10, 
dadurch gekennzeichnet, daS 

der Sicherheitsanalysator (5, 5 % , 5 xt ) eine Einrichtung 
zum Manipulieren des auf dem Bus (2) ubertragene 
20 Datenstroms , insbesondere . der Eingangs - und/ oder 

Ausgangsdaten, auf weist . 



12. Automatisierungssystem (1) nach Anspruch 11, 
dadurch gekennzeichnet, daiS 
25 die Einrichtung Eingangs- und/oder Ausgangsdaten 

uberschreibt und/oder Daten in den Datenstrom einfugt. 



13. Automatisierungssystem (1) nach einem der vorstehenden 
Anspruche 1 bis 12, 
30 dadurch gekennzeichnet, dafi 

zumindest ein Sicherheitsanalysator (5, 5 % , 5**) 
redundant auf gebaut ist . 
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14. Verfahren zum Betrieb einer Autornatisierungssystems, 
insbesondere eines Autornatisierungssystems (1) nach 
einem der Anspruche 1 bis 13, 

dadurch gekennzeichnet , daS durch die 
Standardsteuerungseinrichtung (4; 40, 41) die 
Prozefisteuerung mit der Verarbeitung von 
prozeSgebundenen E/A-Daten und eine sicherheitsbezogene 
Steuerung mit der Verarbeitung von sicherheitsbezogenen 
Daten durchgefuhrt wird und weiterhin eine Verarbeitung 
sicherheitsbezogener Daten auf zumindest einem 
Sicherheitsanalysator (5 , 5 % , 5 ) durchgefuhrt wird, 
wobei im Sicherheitsanalysator sicherheitsbezogene 
Daten, insbesondere sicherheitsbezogene 
Verknupfungsdaten im Busdatenstrom verarbeitet werden. 

15. Verfahren nach Anspruch 14, 
dadurch gekennzeichnet , daS 

in einem Sicherheitsanalysator (5, 5* , 5 xt ) ein 
Vergleich der uber den Bus ubertragenen 
sicherheitsbezogenen Verknupfungsdaten der 
Standardsteuerungseinrichtung (4, 41) und/oder zumindest 
eines weiteren Sicherheitsanalysators (5, 5*, 5* x ) mit 
den entsprechenden Verknupfungsdaten des ersten 
Sicherheitsanalysators durchgefuhrt wird. 

16. Verfahren nach einem der Anspruche 14 oder 15, 
dadurch gekennzeichnet, daS 

die durch die Standardsteuerung (4, 41) erzeugten und 
als Ausgangsdaten uber den Bus gesendeten 
Verknupfungsdaten in zumindest einem 

Sicherheitsanalysator (5, 5*, 5 yx ) durch Nachbil den der 
sicherheitsbezogenen Verknupfungen der 
Standardsteuerung (4, 41) uberpruft werden. 
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17. Verfahren nach einem der Anspruche 14 bis 16, 
dadurch gekennzeichnet , daS 

im Ansprechen auf die Uberprufung oder den Vergleich 
durch den Sicherheitsanalysator (5, 5*, 5**) 
sicherheitsbezogene Funktionen ausfuhrt werden. 

18. Verfahren nach einem der Anspruche 14 bis 17, 
dadurch gekennzeichnet, daS 

im Ansprechen auf die uber den sicherheitsbezogenen 
Eingang (10) des Sicherheitsanalysators (5*) erfaSten 
sicherheitsbezogenen Daten der Sicherheitsanalysator 
sicherheitsbezogene Funktionen ausfuhrt. 

19. Verfahren nach Anspruch 18, 
dadurch gekennzeichnet, daS 

das Ausfuhren einer sicherheitsbezogenen Funktion das 
Ein- oder Ausschalten zumindest einer Baugruppe des 
Automat isierungsbussystems , insbesondere eines 
Busteilnehmers (32-38) umf aSt . 

20. Verfahren nach einem der Anspruche 14 bis 19, 
dadurch gekennzeichnet, daS 

der Sicherheitsanalysator (5 % , 5*') mittels einer 
Einrichtung zum Manipulieren des Datenstroms auf dem Bus 
(2) zumindest ein Datum des Datenstroms uberschreibt , 
loscht und/oder zumindest ein Datum in den Bus- 
Datenstrom einf ugt . 

21. Verfahren nach der Anspruch 20, 
dadurch gekennzeichnet, daS 

der Sicherheitsanalysator (5, 5*, 5 %1 ) den abgehorten 
Datenstrom zumindest teilweise abspeichert und 
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Eingangsdaten des Bus-Datenstroms in Ausgangsdaten des 
Bus -Datenstroms , und umgekehrt , umkopiert . 

22. Verfahren nach einem der Anspruche 14 bis 21, 
dadurch gekennzeichnet , daS 
sicherheitsbezogenen Daten in einem 
Sicherheitsprotokoll uber den Bus (2) ubertragen 
werden. 

23. Verfahren nach Anspruch 22, 
dadurch gekennzeichnet, daS 

das Sicherheitsprotokoll zusatzlich zum Sicherheitsdatum 
das negierte Sicherheitsdatum, eine laufende Nummer, 
eine Adresse und/oder eine Datensicherungs information 
(CRC) umfaSt. 

24. Verfahren nach einem der Anspruche 14 bis 23, 
dadurch gekennzeichnet, daS 

der Bus ein nach dem Master-Slave-Prinzip arbeitendes 
System ist, wobei Daten zwischen zumindest zwei Slaves, 
insbesondere zwischen einzelnen Busteilnehmern (31-38) , 
mittels einer Daten-Verbindung uber wenigstens einen 
Sicherheitsanalysator (5, 5 % , 5 XX ) ubertragen werden, 
wobei der Sicherheitsanalysator Daten im Busdatenstrom 
umkopiert . 

25. Verfahren nach einem der Anspruche 14 bis 23, 
dadurch gekennzeichnet, daS 

der Bus ein nach dem Master-Slave-Prinzip arbeitendes 
System ist, wobei Daten zwischen zumindest zwei Slaves, 
insbesondere zwischen einzelnen Busteilnehmern (31-3 8) , 
mittels einer Daten-Verbindung uber die Steuerung oder 
den Master ubertragen werden, wobei die Steuerung bzw. 
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der Master Daten im Busdatenstrom umkopiert. 

26. Verfahren nach einem der Anspruche 14 bis 25, 
dadurch gekennzeichnet , daS 

mittels eines Sicherheitsanalysators (5, 5 1 , 5**) 
Qualitatsdaten erzeugt und/oder eine Aufbereitung der 
gelesenen Daten zur weiteren Verarbeitung durchgefuhrt 
we r den . 

27. Verfahren nach einem der Anspruche 14 bis 26, 
dadurch gekennzeichnet, daS 

die in einem Sicherheitsanalysator (5 X ) ablaufenden 
sicherheitsbezogenen Verknupf ungen zumindest teilweise 
redundant in wenigstens einem weiteren 

Sicherheitsanalysator (5^) durchgefuhrt und durch beide 
Sicherheitsanalysatoren zumindest teilweise die 
gleichen Sicherheitsf unktionen ausgefuhrt werden. 

28. Verfahren nach einem der Anspruche 14 bis 27, 
dadurch gekennzeichnet , dafi 

ein Sicherheitsanalysator zumindest teilweise auch eine 
ProzeSdatenverarbeitung durchf uhrt . 
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(57) Abstract: The invention relates to a security-related automation sys- 
tem and a method for operating said system. In order to produce a secu- 
rity-related bus automation system which involves a minimum amount of 
hardware redundancy and which can be adapted to requirements in a flexi- 
ble manner, the automauon system comprises at least one security analyzer 
which is connected to the bus by means of an interface and which monitors 
the data flow via said bus. whereby the analyzer is configured in such a 
way that it can execute security-related functions. The automation system 
is characterized in that a standard control device controls at least one se- 
curity-related output and the security analyzer is configured in such a way 
that it can monitor and/or process security-related data in the bus data flow. 

(57) Zusammenfassung: Die Erfindung hetriffl ein sicherheitsbezogenes 
Automatisierungssystem und ein Verfahren zum Betrieb eines derartigen 
Systems. Um ein sicherheitsbezogenes Automaiisierungsbussyslem bereit- 
zustcllcn, welches mil einergeringen Hardware- Redundanz auskommi und 
flexibel an die jeweiligen Anfordernisse ansepafit werden kann. umfa&l das 
Automatisierungssystem zumindest einen Sicherheitsanalysator der mit- 
lels einer Schnitistelle an den Bus angeschlossen ist und den DaienfluB 
uber den Bus million, wobei der Analysator zum Ausfuhren von sicher- 
heitsbezogenen Funktionen eingerichtet isL Das Automatisierungssystem 
zeichnet sich dadurch aus, da£ die Slandardsteuereinrichtung zumindest ei- 
nen sicherheitsbezogenen Ausgang ansteuen und der Sicherheitsanalysator 
zur Oberprufung und/oder zum Verarbeiien von sicherheitsbezogenen Da- 
ten im Busdatenstrom ausgebildet ist. 
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